Централизация борьбы с мошенничеством, ужесточение требований к информационной безопасности, особенно для электронных платформ, а также усиление контроля за соблюдением этих правил – становятся ключевыми вызовами для участников финансового рынка в Центральной Азии и во всем мире. 23 августа 2024 года вступило в силу Положение ЦБ Республики Узбекистан №3513, которое внесло существенные корректировки для платежной индустрии. Какие изменения ожидать от регулятора и как подготовиться к новым требованиям Положения ЦБ РУз – об этом порталу PLUSworld рассказывает аудитор-консультант Compliance Control Павел Ли.

 

Приказом правления ЦБ от 21.05.2024 г. № 3513 (ссылка: [https://lex.uz/ru/docs/6933268#] (https://lex.uz/ru/docs/6933268#)) утверждено Положение об обеспечении информационной безопасности и кибербезопасности в платежных системах операторов платежных систем и поставщиков платежных услуг, а также о принятии мер по предотвращению правонарушений, совершаемых с использованием цифровых технологий.

Какие ключевые изменения внесены в Положение ЦБ РУз №3513 в сравнении с предыдущим положением №3268?

• Защита платежной информации: расширен базовый набор авторизации пользователей с применением двухфакторной аутентификации или биометрии; внедрение процесса управления уязвимостями в приложениях, используемых клиентами; запрет на использование устаревших версий платежного приложения.
• Защита конфиденциальности платежной информации и содержащихся в ней персональных данных: дополнены требования по управлению доступом и порядку работы с конфиденциальной информацией, а также регистрация безопасного уничтожения носителей конфиденциальной информации.
• Служба информационной безопасности и кибербезопасности: обновились требования к проведению аудитов на соответствие требованиям постановлений, внутренних политик и регламентов не реже двух раз в год.
• Мониторинг информационных систем и ресурсов, выявление нежелательных событий и реагирование на инциденты ИБ: новое требование по взаимодействию с системой мониторинга центра кибербезопасности ЦБ (CERT CBU), а также требование по ограничению доступа к BIOS банкоматов с использованием сложных паролей.

Новые требования в Положении ЦБ РУз №3513, которые вступили в силу:

• Внедрение систем антифрода и требования к ним, такие как сбор информации о банковских картах, используемых в мошеннических операциях, и круглосуточная служба анализа мошеннических операций.
• Предотвращение выплат без согласия физических и юридических лиц с применением антифрод решений, интегрированных в централизованную систему мониторинга и предотвращения мошеннических операций ЦБ, и уведомление пользователей о подозрительных мошеннических операциях с их картами.
• Определены требования безопасности к использованию EPOS-решений, с применением отдельного EPOS-терминала для P2P-переводов, не выполняющего другие платежные функции, а также определение правил обеспечения информационной безопасности при использовании EPOS-терминалов.

Положение ЦБ РУз №3513 является идейным продолжением Постановления №3268, и можно наглядно увидеть аналогию с требованиями международных практик управления информационной безопасностью, таких как PCI DSS, в частности:

• Внедрение программы управления уязвимостями, использование наиболее актуальных версий платежного ПО и его безопасная разработка – Требование 6: Разработка и поддержка безопасных систем и программного обеспечения.
• Внедрение процессов авторизации с применением двухфакторной аутентификации, что также отражается в Требовании 8: Идентификация пользователей и аутентификация доступа к системным компонентам.
• Не отменяются требования по использованию SIEM-систем для анализа журнала логов и подозрительной активности в информационных системах участников платежных систем по аналогии с Требованием 10 Стандарта: Регистрация и отслеживание всех доступов к системным компонентам и данным держателей карт.
• Проведение регулярных внутренних проверок соответствия требованиям безопасности – Требование 12: Поддержка информационной безопасности с помощью организационных политик и программ.

Положения ЦБ РУз №3513 действительно можно рассматривать как естественное продолжение Постановления №3268, что свидетельствует о последовательном подходе к вопросам информационной безопасности в финансовом секторе. Это не просто набор требований, но и стратегический шаг вперед в области защиты информации, основанный на лучших международных практиках, который формирует основу для построения эффективной системы управления информационной безопасностью в финансовом секторе Узбекистана.